33 - 1998-01 marco para la evaluacion de sistemas de
TRANSCRIPT
MARCO PARA LA EVALUACION DE LOS SISTEMAS DE CONTROL INTERNO Comité de Basilea para la Supervisión Bancaria Basilea Enero de 1998
I N D I C E Página Introducción 1 I. Antecedentes 6 II. Los objetivos y el rol del marco de controles internos 8 III. Los elementos principales de un proceso de control interno 10 A. Vigilancia de la administración y la cultura de control 10 1. El directorio 10 2. El personal directivo superior 11 3. La cultura de control 12 B. Evaluación de los riesgos 13 C. Actividades de control 15 D. Información y comunicación 18 E. Monitoreo 20 IV. Evaluación de los sistemas de control interno por las autoridades de supervisión 23 V. El rol y las responsabilidades de los auditores externos 26 Anexo - Lecciones en supervisión aprendidas de los errores de control interno 27
Marco para la Evaluación de los Sistemas de Control Interno INTRODUCCION 1. Como parte de los esfuerzos que está realizando para abordar los problemas de supervisión bancaria y mejorar la supervisión, a través de un asesoramiento que fomenta el uso de prácticas acertadas de gestión de riesgos, el Comité de Basilea para la Supervisión Bancaria1 pone este proyecto de marco a la consideración de los supervisores de bancos y demás interesados. El objetivo es que los supervisores utilicen este marco para evaluar los sistemas de control interno de los bancos. Un sistema eficiente de controles internos es un componente esencial de la gestión bancaria y el fundamento de las operaciones bancarias seguras y prudentes. Un sistema de controles internos estrictos puede contribuir al logro de las metas y objetivos de una institución bancaria, al logro de los objetivos de rentabilidad a largo plazo y a la continuidad de informes financieros y administrativos confiables. Este tipo de sistema puede ayudar también a garantizar que el banco acate las leyes y reglamentos y cumpla con las políticas, planes, reglas y procedimientos internos, y a reducir el riesgo de pérdidas inesperadas o daños a la reputación del banco. El presente documento presenta los elementos esenciales de un sistema firme de control interno, basándose en la experiencia de los países miembros y los principios establecidos en publicaciones anteriores del Comité. El objetivo del documento es poner en evidencia varios principios que deberán guiar a las autoridades de supervisión durante la evaluación de los sistemas de control interno. 2. El Comité de Basilea, así como supervisores bancarios del mundo entero, resalta cada vez más la importancia de controles internos firmes. Este interés marcado por los controles internos es, en parte, el resultado de las pérdidas importantes incurridas por varias instituciones bancarias. El análisis de los problemas relacionados con dichas pérdidas, muestra que podrían haber sido fácilmente evitadas si los bancos hubieran tenido sistemas eficientes de control interno. Dichos sistemas hubieran prevenido o facilitado una detección temprana de los problemas que desembocaron en las pérdidas, limitando, de esta manera, los daños a las instituciones bancarias involucradas. Para establecer estos principios, el Comité se basó en las lecciones aprendidas de las situaciones problemáticas de los bancos, en algunos países miembros.
1 El Comité de Basilea de Supervisión Bancaria es un comité de autoridades de supervisión bancaria,
establecido por los directores de los bancos centrales de los países del Grupo de los Diez, en 1975. Está formado por representantes de las autoridades de supervisión bancaria y bancos centrales de Bélgica, Canadá, Francia, Alemania, Italia, Japón, Luxemburgo, Países Bajos, Suecia, Suiza, Reino Unido y los Estados Unidos de América. El Comité se reúne normalmente en el Banco de Pagos Internacionales en Basilea, donde se encuentra su Secretaría permanente.
3. Estos principios pretenden ser de aplicación general y las autoridades de supervisión deberían usarlos para evaluar sus propios métodos y procedimientos de supervisión, para controlar cómo estructuran los bancos sus sistemas de control interno. Si bien el enfoque específico seleccionado por cada uno de los supervisores dependerá de muchos factores, incluyendo sus técnicas de supervisión, en y fuera del sitio, y la medida en que los auditores externos participan en la función supervisora, todos los miembros del Comité de Basilea están de acuerdo en que los principios presentados en este documento deben ser utilizados para evaluar el sistema de control interno de un banco.
4. El Comité de Basilea está distribuyendo este documento a las autoridades de supervisión de todo el mundo con la certeza de que los principios presentados, ofrecerán un marco útil para la supervisión eficiente de los sistemas de control interno. En general, el Comité desea recalcar que los controles internos firmes son esenciales para la operación prudente de los bancos y para fomentar la estabilidad del sistema financiero en su conjunto. 5. El asesoramiento proporcionado anteriormente por el Comité de Basilea, consistía normalmente en discusiones sobre los controles internos de ciertas áreas específicas de actividad bancaria, como ser, riesgos de la tasa de interés, y actividades comerciales y derivadas. Este documento, en cambio, presenta un marco que el Comité de Basilea recomienda sea utilizado por los supervisores, para la evaluación de los controles internos de todas las actividades, dentro y fuera del balance general, de las instituciones bancarias. La orientación brindada no está dirigida a áreas o actividades específicas de los bancos. La aplicación exacta que se le dará a esta orientación depende de la naturaleza, complejidad y riesgos de las operaciones de cada uno de los bancos. En las secciones III y IV de este documento, el Comité estipula catorce principios a ser aplicados por las autoridades de supervisión bancaria para la evaluación de los sistemas de control interno de los bancos. Además, en el Anexo se presentan las lecciones en supervisión aprendidas de los errores de control interno del pasado.
Principios para la Evaluación de Sistemas de Control Interno Vigilancia de la administración y la cultura de control Principio N� 1: El directorio debe ser responsable de la aprobación de estrategias y políticas;
comprendiendo los riesgos que corren los bancos, fijando niveles aceptables para estos riesgos y garantizando que el personal directivo superior tome las medidas necesarias para identificar, vigilar y controlar los riesgos; aprobando la estructura orgánica; y asegurando que el personal directivo superior está vigilando la eficiencia del sistema de control interno.
Principio N� 2: El personal directivo superior debe ser responsable de la ejecución de las
estrategias aprobadas por el directorio; formulando políticas apropiadas de control interno; y vigilando la eficiencia del sistema de control interno.
Principio N� 3: El directorio y el personal directivo superior son responsables de la promoción de
normas éticas y de integridad, y de la creación de una cultura, dentro de la institución, que realce y demuestre al personal de todos los niveles, la importancia de los controles internos. El personal de todos los niveles de una institución bancaria debe comprender el rol que le es asignado en el proceso de controles internos y estar completamente comprometido con dicho proceso.
Evaluación de los riesgos Principio N� 4: El personal directivo superior debe garantizar que los factores internos y externos
que podrían afectar negativamente el logro de los objetivos del banco están siendo identificados y evaluados. Esta evaluación debe abarcar todos los riesgos que el banco enfrenta (por ejemplo, riesgo crediticio, riesgo de país y de transferencia, riesgo de mercado, riesgo de la tasa de interés, riesgo de liquidez, riesgo operativo, riesgo legal y riesgo para la reputación).
Principio N� 5: El personal directivo superior debe garantizar que los riesgos que afectan el logro de
las estrategias y objetivos del banco están siendo evaluados continuamente. Es posible que los controles internos deban ser revisados para abordar apropiadamente cualquier riesgo nuevo o previamente incontrolado.
Actividades de control Principio N� 6:
Las actividades de control deben ser parte integral de las operaciones diarias de un
banco. El personal directivo superior debe establecer una estructura de control apropiada para garantizar controles internos eficientes, definiendo las actividades de control para todos los niveles. Estas actividades deben incluir: análisis de alto nivel; controles de actividad apropiados para los diferentes departamentos o divisiones; controles físicos; verificación periódica del cumplimiento con los límites de riesgos; un sistema de aprobación y autorización; y, un sistema de verificación y conciliación. El personal directivo superior debe controlar periódicamente que todas las áreas del banco cumplan con las políticas y procedimientos establecidos.
Principio N� 7: El personal directivo superior debe garantizar una segregación adecuada de las
funciones y asegurarse que no se asignen responsabilidades incompatibles al personal. Las áreas que podrían dar lugar a conflicto de intereses deben ser identificadas, minimizadas y vigiladas cuidadosamente.
Información y comunicación Principio N� 8: El personal directivo superior debe garantizar la disponibilidad de información
interna general sobre las actividades financieras, operativas y de cumplimiento, así como información externa del mercado sobre los acontecimientos y condiciones que deben considerarse para la toma de decisiones. La información disponible debe ser confiable, oportuna, accesible y presentada en un formato lógico.
Principio N� 9: El personal directivo superior debe establecer canales de comunicación eficientes
para asegurar que todo el personal conoce las políticas y procedimientos que afectan sus deberes y responsabilidades y que la demás información pertinente llega al personal correspondiente.
Principio N� 10: El personal directivo superior debe velar por la instalación de sistemas de
información que cubran todas las actividades del banco. Estos sistemas, incluyendo aquellos que retienen y utilizan datos en forma
electrónica, deben ser seguros y probados periódicamente. Monitoreo Principio N� 11: El personal directivo superior debe vigilar en forma continua la eficiencia global de
los controles internos del banco para el logro de los objetivos de la institución. El monitoreo de los riesgos claves debe formar parte de las operaciones diarias del
banco y abarcar evaluaciones separadas, según sea necesario. Principio N� 12: Una auditoría interna general del sistema de control interno debe ser realizada por
personal capacitado y competente, en forma eficiente. Los responsables de esta auditoría interna, la cual forma parte del monitoreo del sistema de control interno, deben informar directamente al directorio o a su comité de auditoría, y al personal directivo superior.
Principio N� 13: Se debe informar oportunamente al nivel administrativo correspondiente sobre las
deficiencias de control interno identificadas, las que serán abordadas lo antes posible. Las deficiencias más serias de control interno deben ser referidas al personal directivo superior y al directorio.
Evaluación de los sistemas de control interno por las autoridades de supervisión Principio N� 14: Las autoridades de supervisión deben exigir que todos los bancos, sin considerar su
tamaño, posean un sistema efectivo de controles internos, adaptado a la naturaleza, complejidad y riesgo de sus actividades, dentro y fuera del balance general y sensible a los cambios de ambiente y condiciones del banco. En aquellos casos en que los supervisores determinan que el sistema de controles internos de un banco no es adecuado (por ejemplo, no abarca todos los principios contenidos en este documento), deben tomar medidas en contra del banco para asegurar el ajuste inmediato del sistema de control interno.
6. Se reciben comentarios sobre todos los aspectos cubiertos por el presente documento y su Anexo hasta el 30 de marzo de 1998.
I. Antecedentes 1. El Comité de Basilea ha analizado las últimas dificultades que ha tenido la banca, a fin de identificar el origen de los problemas de control interno. Los problemas identificados confirman la importancia que deben otorgar los directores y la administración de los bancos, los auditores internos y externos, y los supervisores de bancos, al fortalecimiento de los sistemas de control interno y a la evaluación continua de la eficiencia de los mismos. Varios casos recientes demuestran que los controles internos poco firmes pueden llevar a pérdidas importantes para los bancos. 2. Las fallas de control, normalmente observadas en casos de problemas bancarios, pueden ser clasificadas en cinco categorías generales: � Falta de vigilancia y responsabilidad administrativa suficiente, y ausencia de una
cultura de control fuerte dentro del banco. Sin excepción, los casos de pérdidas importantes reflejan la falta de atención de la gerencia al establecimiento de una cultura de control dentro del banco, un relajamiento de dicho control, una orientación y vigilancia insuficientes de parte del directorio y el personal directivo superior, y la falta de determinación de responsabilidades administrativas claras, mediante la asignación de funciones y competencias. Estos casos reflejan, además, la falta de incentivos para realizar una supervisión en línea, estricta, y mantener un alto grado de sentido de control en las diferentes áreas de actividades.
� Evaluación insuficiente de los riesgos que presentan ciertas actividades bancarias,
dentro o fuera del balance general. Muchas de las instituciones bancarias que sufrieron grandes pérdidas descuidaron la evaluación constante de los riesgos presentados por productos y actividades nuevas, o la actualización de sus evaluaciones de riesgos frente a cambios ocurridos en el ambiente general o en las condiciones de negocio. Varios de los casos ocurridos recientemente, demuestran que los sistemas de control interno que funcionan bien para productos simples o tradicionales, son incapaces de manejar productos más sofisticados o complejos.
� La ausencia o falla de las actividades claves de control, como ser, la segregación de
funciones, autorizaciones, verificaciones, conciliaciones, y revisiones del rendimiento operativo. La falta de segregación de funciones, en particular, ha tenido una gran influencia en las grandes pérdidas sufridas por algunos bancos.
� La comunicación insuficiente de información entre los niveles administrativos del
banco, especialmente en la comunicación de los problemas a los niveles superiores. Para ser eficientes, las políticas y procedimientos deben ser comunicados, en forma eficaz, a todo el personal involucrado en una actividad. Algunas de las pérdidas de los bancos ocurrieron porque el personal involucrado no tenía conocimiento de las políticas del banco, o no las comprendía. En algunos casos, la información sobre las fallas en ciertas actividades, que debía ser comunicada a los niveles superiores de administración, no llegó ni al directorio, ni al personal directivo superior, hasta que los problemas se volvieron serios. En otros casos, los datos de los informes de la gerencia estaban incompletos o eran incorrectos, creando una impresión favorable de una situación de negocios que, en realidad, era problemática.
� Deficiencia e insuficiencia de los programas de auditoría y otras actividades de monitoreo. En muchos casos, las auditorías no fueron lo suficientemente rigurosas al identificar e informar sobre las deficiencias de control asociadas con los bancos en situaciones difíciles. En otros casos, a pesar de que los auditores informaron sobre los problemas, éstos no fueron corregidos por la gerencia.
3. El marco de control interno implícito en esta orientación se basa en prácticas corrientes de muchos bancos importantes, sociedades de valores y compañías no financieras, y sus auditores. Además, este marco de evaluación es consistente con la creciente importancia que otorgan los supervisores de bancos a la revisión de los procesos de gestión de riesgos y control interno de una institución bancaria. Es importante recalcar que el directorio y el personal directivo superior de un banco son responsables de la puesta en práctica de controles internos suficientes y de la creación de un ambiente de trabajo en el que las personas entienden y toman con seriedad sus responsabilidades en esta área. A su vez, los supervisores de bancos están encargados de evaluar el grado de compromiso del directorio y de la administración de un banco con el proceso de control interno. II. Los Objetivos y el Rol del Marco de Control Interno 4. El control interno es un proceso efectuado por el directorio,2 personal directivo superior y personal de todos los niveles. No es solamente un procedimiento o política puesta en práctica en un momento dado, sino más bien está en operación continua, en todos los niveles del banco. El directorio y el personal directivo superior son responsables de la creación de una cultura apropiada que facilite un proceso eficiente de control interno, así como del monitoreo constante de la eficacia de este proceso; sin embargo, cada uno de los individuos que forman parte de una institución debe participar en el proceso. Los objetivos principales del proceso de control interno pueden ser clasificados como sigue:3 1. eficiencia y eficacia de las operaciones (objetivos de operación); 2. confiabilidad e integridad de la información financiera y administrativa (objetivos de
información); y, 3. cumplimiento con las leyes y reglamentos aplicables (objetivos de cumplimiento). 2 Este documento se refiere a una estructura administrativa compuesta por un directorio y la
administración superior. El Comité está al tanto de las diferencias que existen entre los marcos legislativos y reguladores de los distintos países, en lo que concierne a las funciones del directorio y administración superior. En algunos países, la función principal, pero no exclusiva, del directorio es supervisar al cuerpo ejecutivo (administración superior, gerencia general) para asegurar que dicho cuerpo ejecutivo cumple con sus deberes. Por esta razón, se lo conoce, en algunos casos, como una junta de supervisión. Esto significa que el directorio no tiene funciones ejecutivas. En otros países, en cambio, el directorio tiene una autoridad más amplia, ya que establece el marco general para la gestión del banco. En vista de las diferencias mencionadas, las nociones de directorio y administración superior son utilizadas en este documento, no para identificar cuerpos legales, sino más bien para darle un nombre a dos funciones de toma de decisiones de un banco.
3 Incluye los controles internos del resguardo de activos y otros recursos contra la adquisición uso o venta no autorizada, o pérdidas.
5. Los objetivos de operación del control interno se relacionan con la eficiencia y eficacia del banco en el uso de sus activos y otros recursos y en la protección del banco contra pérdidas. El proceso de control interno busca garantizar que todo el personal de la institución está trabajando para lograr los objetivos fijados, en forma franca y directa, sin costos imprevistos o excesivos y sin poner otros intereses (como ser los de un empleado, vendedor o cliente) antes de los intereses del banco. 6. Los objetivos de información abordan la preparación de informes confiables y oportunos, necesarios para la toma de decisiones dentro de la institución bancaria. También toman en cuenta la importancia de contar con cuentas anuales confiables, otros estados financieros y otras presentaciones de datos relacionados con las finanzas, incluyendo los datos para la preparación de informes de fiscalización y otros usos externos. La información recibida por la gerencia, el directorio, los accionistas y los supervisores debe tener la calidad e integridad suficientes como para apoyar en ella para la toma de decisiones. El término "confiable", cuando se relaciona con estados financieros, se refiere a la preparación de estados que son presentados legítimamente y están basados en principios y normas contables amplias y claras. 7. Los objetivos de cumplimiento velan por que todas las actividades bancarias cumplan con las leyes y reglamentos aplicables, los requisitos de supervisión y con las políticas y procedimientos internos. El logro de este objetivo es importante para la protección de la franquicia y reputación del banco. III. Los Elementos Principales de un Proceso de Control Interno 8. El proceso de control interno, que históricamente ha sido un mecanismo de reducción de casos de fraude, malversación y errores, se ha vuelto más amplio últimamente, abarcando todos los riesgos a los que se enfrentan las instituciones bancarias. Es ampliamente reconocido, en la actualidad, que un proceso de control interno firme es esencial para permitir a un banco lograr los objetivos establecidos y mantener su viabilidad financiera. 9. El control interno comprende cinco elementos relacionados entre sí: 1. vigilancia de la administración y la cultura de control; 2. evaluación de los riesgos; 3. actividades de control; 4. información y comunicación; y, 5. actividades de monitoreo. Los problemas que fueron observados durante las últimas grandes pérdidas de los bancos están relacionados con estos cinco elementos. El funcionamiento eficiente de estos elementos es esencial para el logro de los objetivos de operación, información y cumplimiento de un banco. A. Vigilancia de la Administración y la Cultura de Control
1. El Directorio Principio N� 1: El directorio debe ser responsable de la aprobación de estrategias y políticas; comprendiendo los riesgos que corren los bancos, fijando niveles aceptables para estos riesgos y garantizando que el personal directivo superior tome las medidas necesarias para identificar, vigilar y controlar los riesgos; aprobando la estructura orgánica; y asegurando que el personal directivo superior está vigilando la eficiencia del sistema de control interno. 10. El directorio da autoridad, orientación y vigilancia al personal directivo superior. Está encargado de formular las estrategias generales y políticas más importantes de la institución y aprobar la estructura orgánica general. El directorio tiene la responsabilidad final de la puesta en práctica y continuidad del sistema de controles internos. Los miembros del directorio deben ser imparciales, capaces e inquisitivos, con un buen conocimiento de las actividades y riesgos del banco. Un directorio fuerte y activo, especialmente cuando está apoyado por buenos canales de comunicación hacia los niveles superiores, y funciones financieras, legales y de auditoría interna capaces, es a menudo la mejor opción para la resolución de los problemas que pueden disminuir la eficiencia del sistema de control interno. 11. El directorio debe incluir dentro de sus actividades: (1) discusiones periódicas con la gerencia sobre la eficiencia del sistema de control interno, (2) un análisis oportuno de las evaluaciones de los controles internos realizadas por la gerencia, los auditores internos y los auditores externos, y (3) esfuerzos periódicos para garantizar que la gerencia ha realizado el seguimiento de las recomendaciones y preocupaciones expresadas por los auditores y las autoridades de supervisión sobre las deficiencias de control interno. 12. Una de las opciones que utilizan los bancos de varios países es la instalación de un comité independiente de auditoría que asiste al directorio en sus funciones. Esta opción permite un examen detallado de la información y de los informes, sin tener que recurrir al tiempo de trabajo de todos los directores y asegura que los problemas particulares reciben la atención necesaria. Normalmente, el comité de auditoría está encargado de vigilar el proceso de preparación de informes financieros y el sistema de control interno. Como parte de esta función, el comité de auditoría vigila normalmente las actividades del departamento de auditoría interna del banco, además de servir de contacto con este departamento, y es el que establece el primer contacto con los auditores externos. En los países en que esta opción es utilizada, el comité debería estar conformado enteramente por directores externos (es decir, miembros del directorio que no están empleados ni por el banco, ni por una de sus filiales) con conocimientos en el área de informes financieros y controles internos. Es importante notar que la creación de un comité de auditoría no debe, en ningún caso, ser tan sólo una transferencia de deberes desde el directorio en pleno hacia el comité. Es preciso recordar que el directorio es el único con poder legal de decisión. 2. El personal directivo superior Principio N� 2: El personal directivo superior debe ser responsable de la ejecución de las estrategias aprobadas por el directorio; formulando políticas apropiadas de control interno; y vigilando la eficiencia del sistema de control interno. 13. El personal directivo superior es responsable de la puesta en práctica de las directivas aprobadas por el directorio, incluyendo la ejecución de estrategias y políticas y el establecimiento
de un sistema eficiente de control interno. El personal que forma parte del personal directivo superior normalmente delega las responsabilidades de la formulación de políticas y procedimientos específicos de control interno, a los responsables de las actividades o funciones de una unidad en particular. Por lo tanto, es importante que el personal directivo superior garantice que los gerentes, a quienes les delegaron dichas responsabilidades, formulen y apliquen las políticas y procedimientos correspondientes. 14. El éxito de un sistema de control interno establecido depende, en gran medida, de una estructura orgánica, justificada y comunicada, que indica claramente el sistema de presentación de informes y de distribución de la autoridad, y establece los mecanismos de comunicación dentro de la institución. La asignación de funciones y responsabilidades debe evitar la existencia de brechas en la línea de presentación de informes y asegurar que el control administrativo se extiende a todos los niveles del banco y a sus diversas actividades. 15. Es importante que el personal directivo superior tome las medidas necesarias para garantizar que las actividades del banco están siendo ejecutadas por personal calificado, con la experiencia y capacidad técnica necesarias. El personal debe ser remunerado en forma justa y tener acceso a la actualización constante de sus capacidades. El personal directivo superior debe establecer una política de remuneraciones y promoción que favorezca las conductas deseadas y minimice los incentivos para ignorar o restar valor a los mecanismos de control interno. 3. La cultura de control Principio N� 3: El directorio y el personal directivo superior son responsables de la promoción de normas éticas y de integridad exigentes, y de la creación de una cultura, dentro de la institución, que realce y demuestre al personal de todos los niveles, la importancia de los controles internos. El personal de todos los niveles de una institución bancaria debe comprender el rol que le es asignado en el proceso de controles internos y estar completamente comprometido con dicho proceso. 16. Uno de los elementos esenciales de un sistema eficiente de control interno es una cultura de control fuerte. Es responsabilidad del directorio y administración superior resaltar, a través de sus acciones y palabras, la importancia del control interno. Esto incluye los valores éticos que la administración demuestra en sus acuerdos de negocios, tanto dentro como fuera de la institución. Las palabras, actitudes y acciones del directorio y del personal directivo superior afectan la integridad, la ética y otros aspectos de la cultura de control del banco. 17. El control interno es la responsabilidad de todas las personas que trabajan en un banco, si bien en grados diferentes. Casi todos los empleados generan información que es utilizada en el sistema de control interno o toman otras medidas necesarias para efectuar el control. Un elemento esencial de un sistema fuerte de control interno es el reconocimiento, por parte de cada uno de los empleados, de la necesidad de cumplir con sus responsabilidades en forma eficiente y comunicar, al nivel administrativo que corresponda, los problemas operativos, casos de incumplimiento con el código de conducta u otras violaciones de políticas o acciones ilegales. Esto se logra más fácilmente cuando los procedimientos operativos están claramente respaldados por documentos escritos, a la disposición del personal. Es esencial que todo el personal del banco comprenda la importancia del control interno y esté comprometido activamente con este proceso. 18. Al reforzar los valores éticos, las instituciones bancarias deben evitar las políticas y
prácticas que podrían proporcionar, involuntariamente, incentivos o tentaciones que lleven a actividades inapropiadas. Los ejemplos de dichas políticas y prácticas incluyen el énfasis exagerado en los objetivos de rendimiento u otros resultados de las operaciones, en especial los de corto plazo; importantes incrementos en las remuneraciones basados en el rendimiento; la segregación ineficiente de las funciones u otros controles que podrían ofrecer tentaciones para la utilización incorrecta de los recursos o el encubrimiento de un rendimiento deficiente; y los castigos ya sea insignificantes, o exageradamente onerosos, para las conductas incorrectas. 19. Si bien la existencia de una cultura fuerte de control interno no garantiza que una institución logrará sus metas, la falta de una tal cultural aumenta las posibilidades de que los errores pasen inadvertidos o que se presenten casos de incorrección. B. Evaluación de los Riesgos 20. Desde la perspectiva del control interno, la evaluación de los riesgos debería identificar y evaluar los factores internos y externos que podrían afectar en forma negativa el logro de los objetivos de operación, información y cumplimiento de una institución bancaria. Esta evaluación debe abarcar riesgos como el riesgo crediticio, de mercado, de liquidez y el riesgo operativo (que incluye el riesgo de fraude, malversación de fondos e información financiera no confiable). Hay bastante diferencia entre la evaluación de riesgos dentro del contexto del control interno y el concepto más amplio de "evaluación de los riesgos" de las actividades generales del banco. Por ejemplo, el proceso de gestión de riesgos de una institución bancaria consiste en la fijación de metas y objetivos (como ser los objetivos de rentabilidad) y la identificación, medida y fijación de límites para los riesgos que el banco está dispuesto a aceptar, para lograr sus objetivos. El proceso de control interno interviene entonces para garantizar que los objetivos y políticas son comunicados y ejecutados, el cumplimiento con los límites es vigilado, y que las desviaciones son corregidas de acuerdo con la política de la administración. Por lo tanto, el concepto de gestión de riesgos incluye, aunque no exclusivamente, la evaluación de los riesgos y la fijación de objetivos de operaciones, según la definición de dichos términos para propósitos de control interno. Principio N� 4: El personal directivo superior debe garantizar que los factores internos y externos que podrían afectar negativamente el logro de los objetivos del banco están siendo identificados y evaluados. Esta evaluación debe abarcar todos los riesgos que el banco enfrenta (por ejemplo, riesgo crediticio, riesgo de país y de transferencia, riesgo de mercado, riesgo de la tasa de interés, riesgo de liquidez, riesgo operativo, riesgo legal y riesgo para la reputación). 21. Una evaluación eficiente de los riesgos identifica y toma en cuenta los factores internos (como ser, la naturaleza de las actividades del banco, la calidad de su personal, los cambios orgánicos y la rotación de personal), así como los factores externos (como ser, la fluctuación de las condiciones económicas, cambios en la industria y avances tecnológicos), que podrían afectar en forma negativa el logro de los objetivos del banco. Esta evaluación de riesgos debe ser conducida a nivel de los negocios individuales y para toda la amplia gama de actividades y subsidiarias de la institución bancaria consolidada. Esto es posible utilizando varios métodos. La evaluación de los riesgos, cuando es eficiente, abarca tanto los riesgos que pueden ser medidos (crédito, mercado, liquidez) como los que no (operativo, legal, riesgo para la reputación). 22. El proceso de evaluación de riesgos comprende, además, la evaluación necesaria para determinar cuáles riesgos pueden ser controlados por el banco y cuáles no. Para los riesgos
controlables, el banco debe decidir si los acepta o si los mitiga mediante mecanismos de control. Para los riesgos incontrolables, el banco debe decidir si los acepta o si se retira de las actividades involucradas o bien las restringe. Principio N� 5: El personal directivo superior debe garantizar que los riesgos que afectan el logro de las estrategias y objetivos del banco están siendo evaluados continuamente. Es posible que los controles internos deban ser revisados para abordar apropiadamente cualquier riesgo nuevo o previamente incontrolado. 23. Para que la evaluación de riesgos, y consiguientemente el sistema de control interno, se mantenga eficiente, el personal directivo superior debe evaluar constantemente los riesgos que afectan el logro de sus objetivos y reaccionar a los cambios de circunstancias y condiciones. Es posible que los controles internos necesiten ser revisados para adaptarse a los riesgos nuevos o previamente no controlados. Por ejemplo, a medida que ocurre la innovación financiera, un banco debe evaluar los nuevos instrumentos financieros y nuevas transacciones de mercado y considerar los riesgos asociados a estas actividades. Frecuentemente, la mejor manera de comprender dichos riesgos es estudiando cómo distintos escenarios (económicos y otros) afectan los flujos de efectivo y ganancias de los instrumentos financieros y transacciones. Un análisis razonable de la escala completa de posibles problemas, desde un malentendido con un cliente hasta una falla operativa, le dará la pauta de los aspectos de control a ser considerados. C. Actividades de Control Principio N� 6: Las actividades de control deben ser parte integral de las operaciones diarias de un banco. El personal directivo superior debe establecer una estructura de control apropiada para garantizar controles internos eficientes, definiendo las actividades de control para todos los niveles. Estas actividades deben incluir: análisis de alto nivel; controles de actividad apropiados para los diferentes departamentos o divisiones; controles físicos; verificación periódica del cumplimiento con los límites de riesgo; un sistema de aprobación y autorización; y, un sistema de verificación y conciliación. El personal directivo superior debe controlar periódicamente que todas las áreas del banco cumplan con las políticas y procedimientos establecidos. 24. Las actividades de control están diseñadas y se ejecutan para considerar los riesgos que el banco ha identificado en el proceso de evaluación de los riesgos mencionado arriba. Las actividades de control siguen tres pasos: (1) la formulación de políticas; (2) la ejecución de procedimientos de acuerdo con dichas políticas; y (3) la verificación del cumplimiento con las políticas. Las actividades de control involucran a todo el personal del banco, incluyendo el personal directivo superior y el personal de primera línea. Algunos ejemplos de actividades de control son: � Revisiones de alto nivel - Los directorios y el personal directivo superior solicitan
frecuentemente exposiciones e informes de rendimiento, que les permiten analizar el progreso del banco hacia el logro de sus objetivos. Por ejemplo, el personal directivo superior puede revisar los informes sobre los resultados financieros hasta la fecha y compararlos con el presupuesto. Las preguntas generadas por el personal directivo superior, como resultado de esta revisión, y las respuestas correspondientes, preparados por los niveles administrativos inferiores, constituyen una actividad de control que puede detectar ciertos problemas, como ser,
deficiencias de control, errores en los informes financieros o actividades fraudulentas.
� Controles de actividad - La gerencia a nivel de departamento o división recibe y
revisa los informes de rendimiento normal y de excepción, diaria, semanal o mensualmente. Las revisiones funcionales tienen lugar con mayor frecuencia que las revisiones de alto nivel y son, normalmente, más detalladas. Por ejemplo, el gerente de préstamos comerciales puede revisar semanalmente los informes de pagos en mora, pagos recibidos e intereses ganados sobre la cartera, mientras que el oficial superior de créditos puede revisar informes similares mensualmente y en forma más resumida, abarcando todas las áreas de crédito. Como en el caso de la revisión a alto nivel, las preguntas generadas como resultado de la revisión de informes y las respuestas a dichas preguntas, representan la actividad de control.
� Controles físicos - Los controles físicos se concentran generalmente en restringir el
acceso a los activos físicos, incluyendo valores y otros activos financieros. Las actividades de control incluyen limitaciones físicas, custodia doble e inventarios periódicos.
� Cumplimiento con los límites de riesgo - La fijación de límites prudentes para los
riesgos es un aspecto importante de la gestión de riesgos. Por ejemplo, el cumplimiento con los límites fijados para los prestatarios y otras contrapartes, reduce la concentración del riesgo crediticio del banco y ayuda a diversificar su perfil de riesgos. Por lo tanto, un aspecto importante de los controles internos es la revisión periódica del cumplimiento con dichos límites.
� Aprobaciones y autorizaciones - Exigir una autorización previa para las
transacciones que exceden ciertos límites asegura que el nivel administrativo pertinente está informado de la transacción o situación y ayuda a identificar las responsabilidades del caso.
� Verificaciones y conciliaciones - Las verificaciones de los detalles y actividades de
las transacciones, así como los resultados de los modelos de gestión de riesgos utilizados por el banco, son actividades de control importantes. Las conciliaciones periódicas, como ser las que comparan los flujos de efectivo con los registros y estados de cuentas, sirven para identificar las actividades y registros que deben ser corregidos. Por lo tanto, los resultados de estas verificaciones deben ser reportados, cada cierto tiempo, a los niveles administrativos que corresponda.
25. Las actividades de control dan los mejores resultados cuando son consideradas, por la administración y el resto del personal, como parte integral de las operaciones diarias del banco, y no como una parte complementaria de dichas operaciones. Cuando los controles son vistos como un complemento de las operaciones cotidianas, son considerados menos importantes y pueden no ser ejecutados en situaciones en que los individuos se sientan presionados para completar actividades en un tiempo limitado. Además, los controles que son parte integral de las operaciones diarias permiten una respuesta rápida a los cambios de condiciones y evitan gastos innecesarios. Como parte de la promoción de una cultura de control dentro del banco, el personal directivo superior debe garantizar que las actividades de control son parte integral de las funciones diarias de todo el personal involucrado.
26. No es suficiente que el personal directivo superior simplemente formule políticas y procedimientos para las diferentes actividades y divisiones del banco. Debe, además, velar por que todas las áreas del banco cumplan con dichas políticas y procedimientos y determinar si las políticas y procedimientos siguen siendo correctos. Esta función es normalmente parte del departamento de auditoría interna. Principio N� 7: El personal directivo superior debe garantizar una segregación adecuada de las funciones y asegurarse que no se asignen responsabilidades incompatibles al personal. Las áreas que podrían dar lugar a conflicto de intereses deben ser identificadas, minimizadas y vigiladas cuidadosamente. 27. Al analizar los casos de pérdidas importantes en la banca, causadas por controles internos deficientes, los supervisores normalmente concluyen que una de las razones principales de dichas pérdidas es la falta de una segregación correcta de funciones. La asignación de funciones incompatibles a un individuo (por ejemplo, responsabilidad en la dirección y en las actividades subalternas de una función comercial) da a esa persona acceso a activos de valor y la posibilidad de manipular los datos financieros para obtener una ganancia personal o para encubrir pérdidas. Por lo tanto, ciertas funciones dentro de un banco deben ser divididas entre varios individuos a fin de reducir el riesgo de manipulación de datos financieros o malversación de fondos. 28. La segregación de funciones no se limita a las situaciones en que un individuo controla todas las actividades de una función. También puede resultar en problemas serios cuando no existen controles eficientes en los casos en que una persona es responsable de: � autorizar el desembolso de fondos y del desembolso mismo; � cuentas de clientes y de propiedad; � transacciones de los libros "bancarios" y "comerciales"; � proporcionar información a los clientes sobre su posición, en forma informal, y
vender servicios a los mismos clientes; � evaluar las solicitudes de crédito y realizar el seguimiento del prestatario después
de tramitado el préstamo; y, � otras áreas donde surgen conflictos de intereses importantes que no son mitigados
por otros factores. 29. Se deben identificar las áreas de conflicto potencial para minimizarlas y realizar el seguimiento correspondiente. Además, las responsabilidades y funciones de los puestos claves deben ser revisadas constantemente para evitar que las personas que los ocupan estén en posición de encubrir acciones incorrectas. D. Información y comunicación Principio N� 8: El personal directivo superior debe garantizar la disponibilidad de información interna general sobre las actividades financieras, operativas y de cumplimiento, así como información externa del mercado sobre los acontecimientos y condiciones que deben considerarse para la toma de decisiones. La información disponible debe ser confiable, oportuna, accesible y presentada en un formato lógico. 30. Una información correcta y una comunicación eficiente son esenciales para el buen
funcionamiento del sistema de control interno. Desde la perspectiva del banco, para que la información sea útil, debe ser pertinente, confiable, oportuna, accesible y presentada en un formato lógico. La información debe abarcar datos internos financieros, operativos y de cumplimiento, así como información externa de mercado sobre los acontecimientos y condiciones que deben ser considerados en la toma de decisiones. La información interna es parte de un proceso de registro que debería incluir procedimientos para la retención de registros. Principio N� 9: El personal directivo superior debe establecer canales de comunicación eficientes para asegurar que todo el personal conoce las políticas y procedimientos que afectan sus deberes y responsabilidades y que la demás información pertinente llega al personal correspondiente. 31. Sin una comunicación eficiente, la información es inútil. El personal directivo superior de los bancos debe establecer vías de comunicación que sean eficientes, para que la información correcta llegue hasta las personas que corresponda. Dicha información se relaciona con las políticas y procedimientos operativos del banco, así como con el rendimiento operativo de la institución. 32. La estructura orgánica del banco debe facilitar un flujo completo de datos - hacia los niveles superiores, inferiores y a través de todos los niveles de la institución. En este caso, la estructura garantiza que la información llega a los niveles superiores para que el directorio y el personal directivo superior estén al tanto de los riesgos del negocio y del rendimiento operativo del banco. Cuando la información llega a los niveles inferiores, se asegura que los objetivos, estrategias y expectativas del banco, así como las políticas y procedimientos establecidos, están siendo comunicados a los niveles administrativos inferiores y al personal de operaciones. Esta comunicación es esencial para lograr un esfuerzo conjunto de todos los empleados del banco hacia el logro de sus objetivos. Finalmente, la comunicación a través de todos los niveles de la institución es importante para que la información sea compartida por todos los departamentos o divisiones. Principio N� 10: El personal directivo superior debe velar por la instalación de sistemas de información que cubran todas las actividades del banco. Estos sistemas, incluyendo aquellos que retienen y utilizan datos en forma electrónica, deben ser seguros y probados periódicamente. 33. Uno de los componentes principales de las operaciones de un banco es la instalación y mantenimiento de sistemas de información administrativa que cubran todas las actividades de la institución. Esta información es normalmente proporcionada por medios electrónicos y no electrónicos. Los bancos deben prestar una atención particular a los requerimientos de organización y control interno relacionados con el procesamiento electrónico de la información. 34. Los sistemas de información electrónica y el uso de la tecnología de la información presentan riesgos que deben ser controlados en forma eficiente por los bancos a fin de evitar perturbaciones en los negocios y pérdidas potenciales. Los controles de los sistemas y tecnología de información deben incluir controles generales y de aplicación. Los controles generales son los controles del sistema de computación (es decir, unidad principal y terminales de los usuarios finales), que aseguran la operación correcta y continua del mismo. Por ejemplo, los controles generales incluyen los procedimientos de respaldo y recuperación, el desarrollo de programas de computación y políticas de adquisiciones, procedimientos de mantenimiento, y controles de la
seguridad de acceso. Los controles de aplicación son pasos computarizados dentro de las aplicaciones de programas y otros procedimientos manuales que controlan el procesamiento de transacciones. Los controles de aplicación incluyen, por ejemplo, verificación de la edición y comparación por computadora. Sin controles de los sistemas y tecnología de información, incluyendo el control de los sistemas en desarrollo, los bancos podrían sufrir la pérdida de datos y programas como resultado de arreglos de seguridad física y electrónica deficientes, fallas en los equipos o sistemas, y procedimientos incorrectos de respaldo y recuperación. La toma de decisiones de la administración podría verse afectada en forma negativa por la información incorrecta o engañosa proporcionada por sistemas mal diseñados y controlados. El procesamiento de la información podría ser restringido, o fallar completamente, si no existen instalaciones alternativas compatibles que puedan ser utilizadas en casos de fallas prolongadas de los equipos. En casos extremos, dichos problemas podrían causar dificultades serias para los bancos y hasta impedir el desarrollo de las actividades de negocios más importantes. E. Monitoreo Principio N� 11: El personal directivo superior debe vigilar en forma continua la eficiencia global de los controles internos del banco para el logro de los objetivos de la institución. El monitoreo de los riesgos claves debe formar parte de las operaciones diarias del banco y abarcar evaluaciones separadas, según sea necesario. 35. La banca es una industria dinámica que está evolucionando rápidamente. Los bancos necesitan vigilar y evaluar constantemente sus sistemas de control interno a la luz de los cambios en las condiciones internas y externas, y deben, asimismo, mejorar estos sistemas para mantener su eficiencia. 36. El monitoreo del rendimiento de los controles internos debe ser parte de las operaciones cotidianas del banco, pero debe incluir también evaluaciones periódicas separadas, del proceso global de control interno. La frecuencia del monitoreo de las distintas actividades del banco será determinada después de considerar los riesgos involucrados y la frecuencia y naturaleza de los cambios que ocurren en el ambiente de operaciones. Las actividades corrientes de monitoreo tienen la ventaja de detectar y corregir rápidamente las deficiencias del sistema de control interno. Dicho monitoreo produce los mejores resultados cuando el sistema de control interno está integrado al ambiente de operaciones y genera informes regulares para las actividades de revisión. Los ejemplos de monitoreo corriente incluyen la revisión y aprobación de asientos de diario y la revisión y autorización, por parte de la gerencia, de los informes de excepción. 37. Por otro lado, las evaluaciones separadas normalmente sólo detectan los problemas después del hecho; sin embargo, las evaluaciones separadas permiten a la institución analizar en forma global y con una visión renovada, el funcionamiento del sistema de control interno y, específicamente, la eficiencia de las actividades de monitoreo. Frecuentemente, las evaluaciones separadas son auto evaluaciones, cuando las personas responsables de una función particular determinan la eficiencia de los controles sobre sus actividades. La documentación y los resultados de estas evaluaciones son seguidamente analizados por el personal directivo superior. Las revisiones, a todo nivel, deben ser correctamente documentadas y los resultados enviados oportunamente al nivel administrativo correspondiente. Principio N� 12: Una auditoría interna general del sistema de control interno debe ser
realizada por personal capacitado y competente, en forma eficiente. Los responsables de esta auditoría interna, la cual forma parte del monitoreo del sistema de control interno, deben informar directamente al directorio o a su comité de auditoría, y al personal directivo superior. 38. La función de auditoría interna es una parte importante del monitoreo corriente del sistema de controles internos ya que produce una evaluación independiente del rendimiento de los controles establecidos y del cumplimiento con los mismos. Al informar directamente al directorio, o a su comité de auditoría, y al personal directivo superior, los auditores internos proporcionan información objetiva sobre las actividades de línea. En vista de la importancia de esta función, la auditoría interna debe ser dotada de personal competente y capacitado, con un claro conocimiento de su rol y responsabilidades. La frecuencia y alcance de los análisis y pruebas de los controles internos realizados por la función de auditoría interna, dependerán de la naturaleza, complejidad y riesgo de las actividades de la institución. En todo caso, es absolutamente necesario que la función de auditoría interna sea independiente del funcionamiento cotidiano del banco y que tenga acceso a todas las actividades del banco. 39. Es importante que la función de auditoría interna informe directamente a los niveles más altos de la institución bancaria, normalmente al directorio, o a su comité de auditoría, y al personal directivo superior. Esto permite el funcionamiento correcto de la jerarquía corporativa al brindar al directorio información que no ha sido alterada por ninguno de los niveles administrativos cubiertos por los informes. El directorio debe, además, reforzar la independencia de los auditores internos, haciendo que ciertos temas, como ser sus remuneraciones o recursos presupuestados, sean determinados por el directorio mismo, o por los niveles administrativos más altos, y no por los gerentes, quienes, de una u otra manera, se ven afectados por el trabajo de los auditores internos. Principio N� 13: Se debe informar oportunamente al nivel administrativo correspondiente sobre las deficiencias de control interno identificadas, las que serán abordadas lo antes posible. Las deficiencias serias de control interno deben ser referidas al personal directivo superior y al directorio. 40. Se debe informar a la(s) persona(s) correspondiente(s) sobre las deficiencias de control interno, o las políticas y procedimientos ineficientes, tan pronto como sean identificados. El directorio y el personal directivo superior deben ser informados directamente cuando se trata de asuntos de mucha gravedad. Una vez que se haya informado sobre las deficiencias o las políticas y los procedimientos ineficientes, es importante que los mismos sean corregidos por la administración en forma oportuna. Los auditores internos deben realizar revisiones de seguimiento e informar, inmediatamente, al directorio o al personal directivo superior, sobre cualquier deficiencia no corregida. A fin de garantizar que todas las deficiencias son abordadas en forma oportuna, la administración debe establecer un sistema de seguimiento de las deficiencias de control y acciones correctivas correspondientes. IV. Evaluación de los Sistemas de Control Interno por las Autoridades de Supervisión Principio N� 14: Las autoridades de supervisión deben exigir que todos los bancos, sin considerar su tamaño, posean un sistema efectivo de controles internos adaptado a la naturaleza, complejidad y riesgo de sus actividades dentro y fuera del balance general y
sensible a los cambios de ambiente y condiciones del banco. En aquellos casos en que los supervisores determinan que el sistema de controles internos de un banco no es adecuado (por ejemplo, no abarca todos los principios contenidos en este documento), deben tomar medidas en contra del banco para asegurar el ajuste inmediato del sistema de control interno. 41. Si bien la responsabilidad final del sistema de controles internos recae sobre el directorio y el personal directivo superior, las autoridades de supervisión deben evaluar el sistema de control interno de los bancos como parte de sus actividades de supervisión. Los supervisores deben, además, determinar si la administración del banco presta la debida atención a los problemas que son detectados mediante el proceso de control interno. 42. Los supervisores deben exigir a los bancos bajo su mandato el establecimiento de culturas de control fuertes y darle a sus actividades de supervisión un enfoque basado en el riesgo. Esto abarca la revisión de la suficiencia de controles internos. Es importante que los supervisores no sólo evalúen la eficacia del sistema de controles internos en general, sino que evalúen también los controles de las áreas de alto riesgo (por ejemplo, áreas con características como rentabilidad inusual, crecimiento rápido, o actividades nuevas). Las autoridades de supervisión bancaria deben resaltar la importancia de las políticas y procedimientos escritos como mecanismo de comunicación. 43. Al realizar la evaluación de los sistemas de control interno de un banco, los supervisores podrían examinar con una atención particular las actividades o situaciones que han estado históricamente asociadas a fallas de control interno con pérdidas sustanciales. Ciertos cambios en el ambiente de negocios del banco deben ser objeto de una consideración especial, para determinar si deberían estar acompañados por ajustes en el sistema de control interno. Estos cambios incluyen: (1) cambios en el ambiente de las operaciones; (2) personal nuevo; (3) sistemas de información nuevos o renovados; (4) áreas/actividades que experimentan un crecimiento rápido; (5) nueva tecnología; (6) nuevas líneas, productos, actividades (especialmente si son complejas); (7) restructuraciones, fusiones y adquisiciones corporativas; y, (8) expansión o adquisición de operaciones internacionales (incluyendo el efecto de los cambios en el ambiente económico y normativo correspondiente). 44. Los supervisores pueden utilizar varios enfoques para evaluar la calidad de los controles internos. Es posible evaluar el trabajo del departamento de auditoría interna analizando sus documentos de trabajo y la metodología utilizada para la evaluación de riesgos. Si están satisfechos con la calidad del trabajo realizado por el departamento de auditoría interna, los supervisores pueden utilizar los informes de los auditores internos como un primer mecanismo para la identificación de problemas en el banco, o para la identificación de áreas de riesgo potencial que no han sido recientemente analizadas por los auditores. Algunos supervisores pueden utilizar la auto evaluación, método en que la administración analiza los controles internos, actividad por actividad, y certifica a los supervisores que los controles son suficientes. Otros supervisores podrán exigir auditorías externas periódicas de ciertas áreas consideradas claves, fijando el alcance de las mismas. Y, finalmente, los supervisores podrán combinar una o más de las técnicas mencionadas con sus propias revisiones o exámenes de los controles internos, en el sitio mismo. 45. Los supervisores de muchos países realizan exámenes en el sitio y la revisión de los
controles internos es una parte integral de dichos exámenes. La revisión en el sitio podría incluir un análisis del proceso de negocios y una serie razonable de pruebas de las transacciones, con el fin de obtener una verificación independiente de los procesos de control interno del banco. 46. Las pruebas de las transacciones deben ser realizadas para verificar: � la suficiencia y observación de las políticas, procedimientos y límites internos; � la precisión e integridad de los informes administrativos y registros financieros; y � la confiabilidad (es decir, si funciona según las expectativas de la administración) de
controles específicos, identificados como claves para el elemento de control interno que está siendo evaluado.
47. Para evaluar la eficacia de los cinco elementos de control interno de una institución bancaria (o de una unidad/actividad de la misma) los supervisores deben: � identificar los objetivos de control interno que son relevantes para la institución,
unidad o actividad bajo estudio (por ejemplo, préstamos, inversiones, contabilidad); � evaluar la eficacia de los elementos de control interno, no sólo mediante el análisis
de las políticas y procedimientos, sino que revisando también la documentación, discutiendo sobre las operaciones con personal de varios niveles del banco, observando el ambiente operativo y probando las transacciones;
� compartir los problemas de supervisión de controles internos y las
recomendaciones para mejorar dichos controles con el directorio y la administración, en forma oportuna; y
� determinar si las acciones correctivas son ejecutadas oportunamente al detectar
deficiencias. 48. Las autoridades de supervisión bancaria que no realizan exámenes en el sitio, normalmente recurren al trabajo de los auditores externos. En estos casos, los auditores externos deben estar encargados del análisis del proceso de negocios y de las pruebas de las transacciones mencionadas anteriormente. 49. Los supervisores de bancos deben, en todos los casos, revisar las observaciones y recomendaciones de los auditores externos referentes a la eficacia de los controles internos y determinar si la administración y el directorio del banco han considerado los comentarios y recomendaciones expresadas por los auditores externos. El nivel y la naturaleza de los problemas de control detectados por los auditores serán descompuestos en factores dentro de la evaluación de los controles internos del banco realizada por los supervisores. 50. Los supervisores deben, además, sugerir a los auditores externos que organicen y realicen sus auditorías para tomar en cuenta la posibilidad de declaraciones falsas en los estados financieros del banco, debidas a la ocurrencia de fraudes. Todo fraude detectado por los auditores externos, sin importar su importancia relativa, debe ser comunicado al nivel administrativo que corresponda. Los casos de fraude del personal directivo superior y aquellos de importancia para la
entidad deben ser comunicados al directorio y/o comité de auditoría. Los auditores externos tendrán que divulgar los casos de fraude a ciertas autoridades de supervisión o a otras autoridades fuera del banco, en ciertas circunstancias (sujeta a las exigencias de cada país). 51. Al analizar la calidad del proceso de control interno de las instituciones bancarias, los supervisores deben también confirmar si el proceso funciona en forma eficiente en todas las líneas de negocios y subsidiarias. Es importante que los supervisores analicen el proceso de control interno, no sólo a nivel de los negocios individuales o entidades legales, sino que también a través de toda la gama de actividades y subsidiarias que forman parte de la institución bancaria consolidada. V. El Rol y las Responsabilidades de los Auditores Externos 52. Si bien los auditores externos no son, por definición, parte de la institución bancaria y por lo tanto no son parte del sistema de control interno de la misma, afectan la calidad de los controles internos a través de sus actividades de auditoría, incluyendo las discusiones con la administración y las recomendaciones para mejorar los controles internos. Los auditores externos proporcionan información importante sobre la eficiencia del sistema de control interno como resultado de sus actividades. 53. Si bien el propósito principal de la función de auditoría externa es dar una opinión sobre las cuentas anuales del banco, o certificarlas, el auditor externo decidirá si confiar o no en la eficiencia del sistema de control interno del banco. Por esta razón, los auditores externos deben llevar a cabo una evaluación del sistema de control interno para determinar hasta qué punto pueden confiar en el sistema al establecer la naturaleza, oportunidad y alcance de su propia auditoría. 54. El rol de los auditores externos y los procedimientos que utilizan varían de país en país. Las normas profesionales de auditoría de muchos países exigen que las auditorías sean organizadas y realizadas para obtener una seguridad razonable de la veracidad de los estados financieros. Los auditores examinan, además, las transacciones y registros implícitos que apoyan los saldos y datos de los estados financieros. El auditor analiza los principios contables utilizados y las estimaciones de la administración, y califica la presentación general del estado financiero. En algunos países, las autoridades de supervisión exigen a los auditores externos proporcionar una evaluación específica del alcance, suficiencia y eficiencia del sistema de control interno de los bancos, incluyendo al sistema de auditoría interna en dicha evaluación. 55. Una constante en todos los países, sin embargo, es la expectativa que los auditores externos llegarán a comprender el proceso de control interno de los bancos. El grado de atención que se le presta al sistema de control interno varía de auditor en auditor y de banco en banco; sin embargo, se espera, en general, que el auditor podrá identificar las deficiencias del banco y comunicar las debilidades importantes a la administración, en forma oral o en cartas confidenciales y, en muchos países, a la autoridad de supervisión. Asimismo, los auditores externos pueden estar sujetos a requisitos especiales de supervisión que especifican la manera en que deben realizar y comunicar la evaluación de los controles internos.
Anexo Lecciones en Supervisión Aprendidas de los Errores de Control Interno A. Vigilancia de la Administración y la Cultura de Control 1. Muchas de las fallas de control interno que desembocaron en pérdidas importantes para los bancos podrían haber sido sustancialmente menores o hasta evitadas si el directorio y el personal directivo superior de las instituciones involucradas hubieran establecido culturas de control fuertes. Las culturas de control débiles tuvieron, frecuentemente, dos elementos en común. Primero, el personal directivo superior no supo subrayar la importancia de un sistema firme de control interno a través de sus palabras y actos, y más importante aún, a través de los criterios utilizados para determinar las remuneraciones y promociones del personal. Segundo, el personal directivo superior no definió claramente la estructura orgánica ni las responsabilidades administrativas. Por ejemplo, el personal directivo superior no exigió, oportunamente, una supervisión suficiente del personal encargado de la toma de decisiones claves ni la preparación de informes sobre la naturaleza y situación de las actividades de negocios. 2. El personal directivo superior puede debilitar la cultura de control al promocionar y recompensar a gerentes que generan utilidades pero no ejecutan las políticas de control interno ni abordan los problemas identificados por la auditoría interna. Estas acciones envían un mensaje a las demás personas dentro de la institución, en el sentido que el control interno es considerado como secundario al lado de los demás objetivos de la institución, disminuyendo así el compromiso con la cultura de control y la calidad de la misma. 3. Algunos de los bancos con problemas de control poseían estructuras orgánicas sin una clara descripción de las responsabilidades. Como resultado de ello, una de las divisiones del banco no estaba bajo la responsabilidad directa de ningún miembro de el personal directivo superior. Así, ninguno de los gerentes principales vigilaba de cerca el rendimiento de las actividades y, por lo tanto, era imposible detectar actividades poco usuales, ya sean financieras o de otro tipo. Además, ninguno de los gerentes principales tenía un conocimiento global de las operaciones, ni de la manera en que se generaban las utilidades. Si la administración hubiera comprendido las operaciones de esta división, hubiera reconocido las señales de alarma (como ser, una relación inusual entre las utilidades y los niveles de riesgo), investigado las operaciones y tomado medidas para mitigar las pérdidas eventuales. Los problemas hubieran podido evitarse, también, si el personal directivo hubiera revisado los informes de transacciones y administrativos, y discutido con el personal correspondiente sobre la naturaleza de los negocios realizados. Este tipo de enfoques brindan al personal directivo una visión objetiva de cómo se toman las decisiones y aseguran que el personal clave está operando dentro de los parámetros fijados por el banco, y dentro del marco de control interno. B. Evaluación de los Riesgos 4. Una evaluación insuficiente de los riesgos ha contribuido a los problemas de control interno y pérdidas de algunas instituciones, en el pasado reciente. En algunos casos, el alto rendimiento potencial asociado con ciertos préstamos, inversiones e instrumentos derivados, encubrían la necesidad de evaluar los riesgos asociados a las transacciones y dedicar recursos suficientes para el monitoreo y revisión constante de los riesgos. También se han presentado pérdidas cuando la
administración no supo actualizar el proceso de evaluación de riesgos, frente a cambios en el ambiente operativo del banco. Por ejemplo, puede ser que los controles internos no sean intensificados a medida que se desarrollan productos más sofisticados dentro de una línea comercial. Un segundo ejemplo podría ser iniciar una nueva actividad comercial sin realizar una evaluación completa y objetiva de los riesgos involucrados. Sin dicha re-evaluación, es posible que el sistema de control interno no se adapte a los riesgos de la nueva actividad. 5. Como se mencionó anteriormente, las instituciones bancarias fijarán los objetivos de eficiencia operativa, confiabilidad de los informes financieros y acatamiento de las leyes y reglamentos. La evaluación de los riesgos conlleva la identificación y evaluación de los riesgos relacionados con el logro de dichos objetivos. Este proceso contribuye verificar si los controles internos del banco se adaptan a la naturaleza, complejidad y riesgo de las actividades del banco, dentro y fuera del balance general. C. Actividades de Control 6. Al analizar los casos de grandes pérdidas de los bancos, causadas por controles internos deficientes, los supervisores generalmente concluyen que estos bancos no observaron ciertos principios claves de control interno. La segregación de funciones es, de estos principios, el más frecuentemente olvidado por los bancos que sufrieron pérdidas importantes a raíz de problemas de control interno, a pesar de ser uno de los pilares fundamentales de los sistemas de control interno. Muchas veces el personal directivo superior asignó una responsabilidad individual para la supervisión de dos o más áreas en las que existían conflictos de intereses. Por ejemplo, en muchos casos, una persona supervisaba la dirección y las operaciones de un departamento comercial. Esto le permitía controlar el inicio de la transacción (por ejemplo, la compra y venta de valores o derivados), así como la función de contabilidad correspondiente. La asignación de dichas funciones incompatibles a una sola persona, le brinda la oportunidad de manipular datos financieros para obtener una ganancia personal o para encubrir pérdidas. 7. La segregación de funciones no se limita a las situaciones en que un individuo controla todas las actividades de una función. También puede resultar en problemas serios cuando una persona es responsable de:
• autorizar el desembolso de fondos y del desembolso mismo;
• cuentas de clientes y de propiedad;
• transacciones de los libros "bancarios" y "comerciales";
• proporcionar información a los clientes sobre su posición, en forma informal, y vender servicios a los mismos clientes;
• evaluar las solicitudes de crédito y realizar el seguimiento del prestatario después de originado el préstamo; y,
• otras áreas donde surgen conflictos de intereses importantes que no son mitigados por otros factores.4
8. Los defectos de las actividades de control, sin embargo, reflejan la falla de una variedad de esfuerzos realizados para determinar si los negocios se desarrollan en la forma esperada, desde las revisiones de alto nivel hasta la continuidad de contrapesos específicos en un proceso de negocios. Por ejemplo, en muchos casos, la administración no respondió adecuadamente a la información recibida. Esta información estaba contenida en informes periódicos sobre los resultados de las operaciones de todas las divisiones de la institución que comunicaban a la administración del avance de cada una de las divisiones en el logro de los objetivos, y permitían a la administración hacer preguntas si los resultados eran diferentes a los esperados. A menudo, las divisiones que después sufrían pérdidas significativas informaban, en un principio, la generación de ganancias -bastante superiores a las expectativas dado el aparente nivel de riesgo- lo que debería haber preocupado al personal directivo superior. Si se hubieran realizado revisiones a un nivel superior, el personal directivo superior podría haber investigado la anomalía en los resultados y descubierto algunos de los problemas, limitando o previniendo así las pérdidas ocurridas. Sin embargo, como las desviaciones de sus expectativas fueron positivas (es decir, se generaron utilidades), no se hicieron preguntas y no se iniciaron las investigaciones hasta que los problemas llegaron a un nivel imposible de manejar. D. Información y Comunicación 9. Algunos bancos han tenido pérdidas porque la información dentro de la institución no era confiable ni completa y porque la comunicación dentro de la institución no era eficiente. La información financiera puede ser comunicada en forma incorrecta dentro de la institución; se pueden utilizar series de datos incorrectos, provenientes de fuentes externas, para valorizar las posiciones financieras; y ciertas actividades pequeñas, pero de alto riesgo, pueden no estar reflejadas en los informes administrativos. En algunos casos, los bancos no informaron a sus empleados sobre sus deberes y responsabilidades de control, o bien difundieron las políticas a través de canales, como el correo electrónico, que no aseguraban que dichas políticas eran leídas y asimiladas. Como resultado de ello, muchas políticas de administración no fueron ejecutadas por largos períodos de tiempo. En otros casos, no existían líneas de comunicación eficientes para informar sobre las sospechas de acciones incorrectas por parte de los empleados. Si se hubieran establecido canales para la comunicación de los problemas a los niveles superiores, la administración hubiera podido identificar y corregir dichas acciones incorrectas mucho antes. E. Monitoreo 10. Muchos bancos que experimentaron pérdidas debidas a problemas de control interno, no realizaron el monitoreo de sus sistemas de control interno en forma eficiente. Con frecuencia, los sistemas no tenían una función de monitoreo incorporada y las evaluaciones separadas no eran suficientes o no recibían respuesta de parte de la administración.
4 Para explicar un conflicto potencial de intereses que es mitigado por otros controles, un análisis
independiente de préstamo, a través de sus actividades de monitoreo del sistema de clasificación de créditos del banco, puede compensar el conflicto potencial de intereses que surge cuando una persona, responsable de la evaluación de la documentación de préstamos, también monitorea la capacidad de pago de los prestatarios una vez tramitados los préstamos.
11. En algunos casos, la falta de monitoreo se inició por no considerar y reaccionar a la información cotidiana proporcionada al personal directivo y otro personal indicando la existencia de actividades inusuales, como ser, límites de riesgo excedidos, cuentas de clientes en las actividades de negocios de los propietarios, o falta de estados financieros al día de los prestatarios. En uno de los bancos, las pérdidas asociadas a las actividades comerciales estaban siendo disimuladas en la cuenta de un cliente ficticio. Si la institución hubiera puesto en práctica un procedimiento, para que los estados de cuentas se enviaran por correo a los clientes cada mes, y que estas cuentas de clientes fueran confirmadas periódicamente, dichas pérdidas se hubieran probablemente descubierto mucho antes de que llegaran a causar la falla del banco. 12. En varios otros casos, la división o actividad de la institución que causó las pérdidas masivas, presentaba muchas características indicando un nivel acrecentado de riesgo, como ser, rentabilidad inusual dado el nivel de riesgo percibido y crecimiento rápido de una nueva actividad de negocios geográficamente distante de la institución central. Sin embargo, debido a una evaluación de riesgos insuficiente, las instituciones no asignaron recursos adicionales para controlar o monitorear estas actividades de alto riesgo. De hecho, en algunos casos, las actividades de alto riesgo operaban con menos vigilancia que ciertas actividades con perfiles de riesgo mucho más bajos --tampoco se tomaron medidas para responder a varias advertencias de parte de los auditores internos y externos. 13. Si bien la auditoría interna puede constituir una fuente valiosa de evaluaciones separadas, no fue el caso para muchos de los problemas que atravesaron las instituciones bancarias. La combinación de tres factores contribuyó a estas deficiencias: el rendimiento de las auditorías parciales, falta de una comprehensión exhaustiva de los procesos de negocios, y un seguimiento insuficiente cuando se detectaban problemas. Las auditorías parciales o fragmentadas fueron el resultado de los programas de auditoría externa, estructuradas como una serie de auditorías discretas de actividades específicas dentro de la misma división o departamento, dentro de áreas geográficas, o dentro de entidades legales. En vista de que el proceso de auditoría era fragmentado, el personal de auditoría interna no comprendía plenamente los procesos de negocios. Un programa de auditoría que hubiera permitido a los auditores seguir los procesos y funciones desde el principio hasta el final (es decir, seguir una transacción desde el punto de iniciación de la transacción hasta la fase de preparación del informe financiero), les hubiera brindado un mejor conocimiento. Asimismo, dicho programa hubiera hecho posible la verificación y prueba de los controles a lo largo del proceso. 14. En algunos casos, los conocimientos insuficientes y la falta de capacitación del personal de auditoría interna en productos y mercados comerciales, sistemas de información electrónica, y otras áreas altamente sofisticadas, también contribuyeron a los problemas de auditoría interna. Puesto que el personal no tenía la capacidad suficiente, dudaban en hacer preguntas cuando sospechaban de la existencia de algún problema, y cuando sí lo hacían, lo más probable era que aceptasen la respuesta sin discutirla. 15. La auditoría interna puede también volverse ineficiente cuando la administración no realiza el seguimiento necesario de los problemas identificados por los auditores internos. Esto puede haber ocurrido porque la administración no aceptaba el rol y la importancia de la auditoría interna. Además, cuando el personal directivo superior y el directorio (o comité de auditoría, según corresponda) no reciben oportunamente los informes regulares de seguimiento, indicando los problemas que se presentan y las acciones correctivas de la gerencia, se perjudica la eficacia de la
auditoría interna. Este tipo de medidas de seguimiento pueden ayudar al personal directivo superior a abordar los temas importantes en forma oportuna. Traducción de la Superintendencia de Bancos y Entidades Financieras de Bolivia.